风险评估报告模板50176【精选文档】

1、风险评估报告风险评估报告模板信息技术风险评估年度风险评估文档记录风险评估每年做一次，评估日期及评估人员填在下表:评估日期评估人员目录1前言42.IT系统描述53风险识别84.控制分析105。风险可能性测定136。影响分析157.风险确定178.建议199.结果报告201。前言风险评估成员： 评估成员在公司中岗位及在评估中的职务：风险评估采用的方法：表A 风险分类风险水平风险描述&必要行为高信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严峻的或灾难性的不利影响。中信息的保密性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来严重的不利影响。低信息的保密

2、性、完整性、有效性的丢失可能在组织运作、组织资产或个人方面带来有限的不利影响.2。IT系统描述系统信息和定义文档。IT系统识别和所有权IT系统IDIT系统通用名称Owned By物理位置主要业务功能系统主人电话号码系统管理员电话号码数据所有者的电话号码数据管理员电话号码其它相关信息II。 IT System Boundary and ComponentsIT系统描述和组件IT系统界面IT系统边界 IT系统的彼此连系（按需添加附加费)代理商或单位名称IT系统名称IT系统IDIT 系统所有者Interconnection Security Agreement Status全面的IT系统的灵敏度评估

3、和分类整体IT系统灵敏度评级如果数据类型的灵敏度被评为“高”，那么在任何标准下都必须为“高" 高 中。 低IT 系统分类如果所有的灵敏度都为“高”，那么必须为“灵敏”；如果是适度的，也可认为是“灵敏” 灵敏。 非灵敏IT系统的描述、图解和网络架构,包括全部的系统组件、链接系统组件的通信链接和相关的数据通信和网络：图1IT系统边界图描述了信息的流动往返于IT系统，包括输出和输入到IT系统和其它接口图信息流程图.风险识别脆弱性识别被识别的脆弱性：威胁识别被识别的威胁：被识别的威胁列于表表威胁识别风险识别被识别的风险：在表中是脆弱性和威胁性风险识别方法表脆弱性、威胁性和风险风险序号脆弱性威

4、胁性Risk of Compromise of风险总结123456789101112131415161718192021222324254.控制分析在表E中是IT系统的现行安全控制措施与计划安全控制措施。表E 安全控制控制地方现行/计划控制措施1 风险管理1.1 IT 安全角色& 任务1.2 业务影响分析1.3 IT 系统 & 数据敏感性分类1。4 IT 系统详细信息 & 解释1。5 风险评估1。6 IT 安全审核2 IT 应急计划2.1 连续性的业务操作计划2.2 IT 灾难恢复 计划2。3 IT系统 & 数据备份& 恢复3 IT 系统安全维护3.1

5、IT 系统强化3.2 IT 系统互操纵性安全3.3恶意代码防卫3.4 IT系统开发周期的安全性4合理访问控制4.1 账户管理4。2 密码管理4.3 远程访问管理5 数据保护4。4数据存储媒介保护4.5数据加密6 设施安全6。1 设施安全7个人安全措施 7。1 访问意愿 & 控制7。2 IT 安全意识 & 培训7。3 合理使用8 威胁管理措施8。1 威胁检测8.2 事故处理8。3 安全监控 & 记录9 IT 资产管理 9。1 IT 资产控制9.2 软件许可证管理9。3 配置管理 变更控制表F 风险-控制因素的相关性风险序号风险总结控制措施的相关性 其它因素12345678

6、9101112131415161718192021222324255.风险可能性测定在表G中定义了可能性的等级表G 风险可能性定义控制的有效性威胁出现的概率 (自然的或环境威胁） 或威胁动机和能力 (人类威胁）低中高低中高高中低中高高低低中表H 风险可能性等级风险序号风险总结风险可能性评估风险可能性等级12345678910111213141516171819风险序号风险总结风险可能性评估风险可能性等级2021222324256。影响分析表I:评估风险影响的等级表I 风险影响的等级定义影响级别影响定义高出现的风险: (1) 可能导致人类死亡或严重的伤害； （2) 可能导致主要的有形资产、资源或

7、敏感数据的丢失； (3) 可能显著地损害、阻碍COV的任务、名声或兴趣. 中出现的风险： （1) 可能导致人身伤害； (2) 可能导致贵重的有形资产或资源的丢失 (3） 可能违反、损害阻碍COV的任务、名声或兴趣。低出现的风险： （1) 可能导致一些有形的资产、资源的丢失（2） 可能明显地影响阻碍COV的任务、名声或兴趣.表J 风险影响分析风险序号风向总结风险影响风险影响等级12345678910111213141516171819202122232425用于确定影响的等级的过程描述：7。风险确定表K:确定全面的风险等级的标准表K 总体风险评估矩阵风险可能性风险影响低（10)中(50)高(10

8、0)高（1.0)低10 x 1.0 = 10中50 x 1。0 = 50高100 x 1.0 = 100中（0。5）低10 x 0.5 = 5中50 x 0.5 = 25中100 x 0.5 = 50低(0。1)低10 x 0。1 = 1低50 x 0.1 = 5低100 x 0。1 = 10风险系数: 低 （1 to 10); 中 (>10 to 50); 高 (>50 to 100)表L 总体风险评级表风险序号风险总结风险可能性评级风险影响性评级总体风险评级12345678910111213141516171819202122232425用于确定总体风险等级的过程描述：8。建议表M:对表D中被识别的风险的建议表M 建议序号风险风险等级建议12345678910111213141